Riesgos y Tendencias del Crimen Cibernético y su Impacto en el Sector Financiero

Riesgos y Tendencias del Crimen Cibernético

Jonathan Jaquez

Chief Technical Officer Mageni Networks Optimizando su Seguridad, Gobierno, Riesgo y Cumplimiento

– En Demanda, en Tiempo y en Presupuesto

[email protected]

COMO OPTIMIZAR LOS RIESGOS EN LA INFORMACIÓN

© 2010 Mageni Networks | http://www.mageni.net

Perfil del expositor

Jonathan Jaquez es el co fundador de Mageni Networks, una empresa de consultoría en seguridad de sistemas y administración de riesgos en la información. Su trabajo en materia de seguridad informática ha sido reconocido por el MIT en el 2007.

Es conferencista en materia de seguridad con experiencia en pruebas de penetración, seguridad lógica, auditoría de sistemas, asesoría de riesgos para grandes y medianas empresas y en la entrega de conocimiento competitivo que ayuda a transformar la seguridad en habilitador del crecimiento e innovación de los negocios.


Perfil de Mageni Networks

• Plataforma integral de administración de riesgos en la información – Modelo SaaS de subscripción flexible, evaluación de riesgos, escaneos de

vulnerabilidades y pruebas de penetración ilimitadas durante el tiempo de compromiso, tarifa fija y ajustada al presupuesto

– Metodología probada, segura para ambientes de producción, diseñada para satisfacer los requisitos de PCI DSS, COBIT, ISO 31000, 27000 y Basilea II

– Solución escalable a miles de aplicaciones y servidores sin escalar el CAPEX

• Fundada en el 2008 y de rápido crecimiento– Mageni en el 2010 comienza su expansión hacia los EEUU y en el 2012 hacia

Israel.


¿Que es el crimen cibernético?

El crimen cibernético es el termino usado para enmarcar cualquier actividad ilegal que comprometa la integridad, disponibilidad, predictibilidad, seguridad, confianza y confidencialidad de un recurso tecnológico, propiedad intelectual, datos o información.


La situación actual

El crimen cibernético se ha convertido en una industria que evoluciona cada día. Así como los negocios legítimos, estos empresarios del crimen ofrecen productos y servicios por una ganancia, luchan por ganar una ventaja competitiva y cuota en el mercado, y están continuamente innovando para mejorar sus ofertas y satisfacer las necesidades de sus clientes, y son afectados por las leyes de la oferta y demanda.

Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground


El crimen cibernético es una industria

• Organizada

• Multinacional

• Muy, muy lucrativa

• Riesgo bajo o inexistente

• Muy bajo CAPEX

• Es vertical y de rápido crecimiento

• Fácil de operar y cada día capta nuevos mercados (victimas)


El ecosistema de la industria del crimen

Infraestructura Técnica

HerramientasFast Flux Hosting

Entrega

Infraestructura Operacional

Mulas Victimizar Monetizar

Comunicación vía foro / chat

RecolectorSoporte Técnico

CajeroNegocios

MercadoVictima de Hacking


Servicio al “cliente” de los criminales

• Reputación

• Garantía del producto

• Actualizaciones

• Soporte

• Marketing

• Innovadores

• CaaS (Crimeware-as-a-Service) / FaaS (Fraud-as-a-Service)

• Diversificación

“Nosotros vemos muchas señales que los criminales están imitando las practicas abrazadas por exitosos negocios legítimos para ganar ingresos y hacer crecer sus empresas”

Tom Gillis, Vice Presidente y Gerente General, Cisco Security Products


La lucrativa industria del crimen cibernético

“Desde el 2004, el Crimen Organizado ha hecho mas dinero de la venta de datos que por las ventas de drogas”

Un estimado de USD 200 billones en el 2006The United Nations Office of Drugs and Crimes and the US Treasury’s Office of Technical Assistance


Instituciones financieras atacadas por mes

Abr '08 May '08 Jun '08

Jul' 08 Ago' 08 Sep '08 Oct '08 Nov '08 Dec '08 Jan '09 Feb '09 Mar '09 Abr '09 Jun '090

50

100

150

200

250

215

200209

194 198

183

167

207

178

214

190 191 189 186

Fuente: RSA Fraud Report Jun’09


Países mas atacados por marcas

Fuente: RSA Fraud Report Jun’09

República Dominicana3%

Africa del Sur3%

India3%

Canada3%

Italia5%

Australia7%

España7%

Inglaterra15%

Irlanda2%

Estados Unidos52%


Costo estimado por incidentes

• Riesgo de la Reputación – ¿Cual seria el impacto de una brecha de seguridad? Muchas veces es

incuantificable y cada cliente afectado se convierte en un multiplicador de este efecto.

• Riesgo Financiero– Brechas causadas por incumplimiento con PCI DSS pueden recibir multas de

hasta 500,000 USD por incidente

– $20 - $90 por tarjeta de crédito que pudiera haber sido expuesta

– Costo promedio por incidente es de USD $5,000,000

• Riesgo Operacional – Visa puede imponer restricciones operacionales como

prohibir el manejo de tarjetas o datos de las mismas


Fuente de las brechas de seguridad

Externas Internas Partner0%

10%

20%

30%

40%

50%

60%

70%

80%

Fuente: Verizon Business, 2009 Data Breach Investigations Report


¿Que recursos son blanco de los ataques?

Fuente: Verizon Business, 2009 Data Breach Investigations Report

Recurso Clasificación % de las brechas % de records

Sistema de POS Data en Línea 32% 6%

Base de Datos Data en Línea 30% 75%

Aplicaciones Web Data en Línea 12% 19%

Servidor Web Data en Línea 10% 0.004%

File Server Data en Línea 8% 0.1%

Sistema de Kiosko Data en Línea 2% 0.4%

Active Drectory Data en Línea 2% 0.1%

Tapes Backup Data en Línea 1% 0.04%

Documentos Data en Línea 1% 0.000%

Estaciones de Trabajo Sistema de Usuario Final 8% 0.01%

Laptop Sistema de Usuario Final 4% 0.000%

Verifone Sistema de Usuario Final 2% 0.004%


El impacto psicológico de una brecha

En el caso de una brecha….

3 de cada 4 clientes no usarían un servicio que ya ha sido comprometido

84% de los clientes quieren comprar en lugares que sean lideres en la seguridad

Fuente: Visa


El blanco pocas veces descubre la brecha

Como fue detectada la brecha– Un tercero la detecto a causa de un fraude (55%)– Un tercero la detecto no por fraude (15%)– Descubierta por un empleado (13%)– Desempeño inusual del sistema (11%)Fuente: Verizon Business, 2009 Data Breach Investigations Report


Factores que incrementan el riesgo

• Nuevas/Antiguas tecnologías (hardware & software) y aplicaciones

• Desconocimiento de la sensibilidad situacional

• Escasos profesionales de seguridad experimentados

• Poca seguridad / Poca cultura de seguridad

• Nuevos Productos

• Éxito / Globalización


• La constante evolución de las amenazas– De buscar fama a buscar dinero

• Crecimiento de los negocios– El riesgo es proporcional al crecimiento

• Crecimiento acelerado de servicios y redes IP– Acelera exponencialmente el riesgo

• Rápido crecimiento de la data– La data es la nueva moneda (12 dólares por un dump*)

• Los costos de seguridad crecen 3x en relación al presupuesto– Impedimento para ejecutar los planes completamente

• Regulaciones y estándares como PCI DSS y COBIT– Dirigen las inversiones de seguridad

Avanzar se ha tornado riesgoso

* Dump es el termino undergound para data de tarjetas de crédito/debito, incluyendo números de cuenta


¿Cuanto vale para un hacker las tarjetas?

• Aproximadamente 12 dólares por el “dump” de una tarjeta

• Pero los precios pueden variar– 50 USD por una Visa/Mastercard Corporativa*– 100~160 USD por una Visa/Mastercard Platino**

* Fuente: http://j.mp/ntHQb ** Fuente: Búsqueda en Google por “Credit Card Dump Pricing”


http://j.mp/ntHQb

Tendencias en la explotación de riesgos

Aplicaciones

Librerías de Transporte

Sistema

Operativo

Red Num

ero

de V

ulne

rabi

lidad

es

Fuente: SANS, The Top Cyber Security Risks ‘09


“75% de los ataques son a las aplicaciones” - Gartner

Anatomía de la “Operación Aurora”Un sofisticado ataque contra Google, Yahoo, Symantec en diciembre’2009

Hacker

WWW DNS

Windows con IE con parchos pero

vulnerable a un zero-day

Windows con Parchos de Seguridad

Servidor con Secretos

Servidor con Secretos

El atacante pone malware en un sitio de

confianza

1

Un empleado es infectado por el malware

y recibe un troyano

2

El hacker obtiene control sobre la PC de la

victima

3

A través de exploits zero day accede a PC

protegidas

4

El hacker usa otra cuenta con privilegios de administrador para

ganar acceso a servidores con secretos

5

A traves de un canal encriptado (HTTPS)

para mitigar ser detectado el intruso extrae la data de la

empresa,

6

Fuente: SANS, The Top Cyber Security Risks ‘09


¿Cómo ocurren este tipo de ataques?

• Son ataques metódicos, 100% dirigidos, con meses de planeación

• Generalmente son dos equipos de hackers: Equipo 1 se dedica a reconocimiento y penetración, equipo 2 se dedica a extraer la data

• Son profesionales disciplinados y muy bien motivados

• Previo al ataque identifican: directorios, recursos compartidos, usuarios, empleados, defensas, políticas de passwords,

• Extraen los datos sin abrir archivos para revisar el

contenido evitando levantar sospechas

• Usan técnicas para saltar mecanismos de autenticación

de dos factores © 2010 Mageni Networks | http://www.mageni.net

Para mitigar ataques como Aurora

• Infraestructura– Implemente procesos de data

loss prevention y NBAP

– Eduque a sus usuarios y empleados anualmente para responder a amenazas de este tipo

– No importa cuan sofisticada sea una penetración, esta es vulnerable en la etapa de extraer los datos de su empresa, mantenga sus routers con netflow para usarlo como herramienta forense


• Usuarios– Mantenga actualizado el SO

de su computadora y componentes (PDF, IE, Etc)

– Mantenga actualizado su anti-virus y anti-spyware

– No entre a direcciones de contenido dudoso ni que le envíen personas desconocidas

– Tenga cuidado en las redes sociales y compartiendo información en línea

Operación: Get Rich or Die Tryin’

Victimas Técnicas(1) Inyección de Comandos SQL

(2) Sniffers

(3) War Driving

(4) Recursos Compartidos (Password Débiles)

(5) Malware

(6) Anti-Forenses

(7) Backdoors

(8) Ingeniería Social

Impacto225 millones de tarjetas de crédito comprometidas

TJ Maxx perdió al menos USD $200 millones

Heartland Payment Systems ha perdido USD $32 millones


Anatomía de los ataques de Inyección SQLReconstrucción de la Operación “Get Rich or Die Tryin’”

Hacker

WWW

WWW BDA

BDB

El hacker inyecta comandos SQL a la BD a través de una aplicación

1

Extrae la base de datos

2Gana privilegios de SA e

Instala malware (troyanos y sniffers)

3Escala privilegios en la

red local

4


Como mitigar el riesgo la inyección SQL

• Implemente la modelación de amenazas

• Valide todas las entrada de datos a las aplicaciones

• Deshabilite los stored procedures peligrosos

• No use las cuentas de administradores para una aplicación

• Realice pruebas de penetración después de cada actualización

• Los programadores deben educarse en programación segura

• Implemente un plan de respuestas a incidentes que converja con los procesos de prevención de perdidas de datos y sus políticas de NBAP

• Encripte la base de datos © 2010 Mageni Networks | http://www.mageni.net

Impacto económico de “Get rich or die Tryin”

• TJ Maxx perdió $200 millones de dólares

• Heartland Payment Systems perdió $32 millones de dólares y debe de pagar USD $59.22 millones a Visa por las tarjetas expuestas

• Las otras empresas afectadas no han divulgado datos

• ¿Cuanto dinero hacen los hackers 225 millones de tarjetas?– Cada tarjeta vale USD $12 dólares mínimo – 225,000,000 x 12 = USD $2,700,000,000– En pesos dominicanos: RD$ 97,200,000,000


Los ATM’s también sufren

• En el 2009 Trustwave detecto un malware para ATM’s con Windows XP

• Los ATM’s generalmente no son actualizados y corren versiones de OS/2, Windows CE .NET o WinXP con numerosas vulnerabilidades

• Algunos ATM’s tiene servicios innecesarios (FTP, SMB, etc)

• En ocasiones, los servidores de back-end no están

en una red separada de otros servidores.

• ATM’s vulnerables pueden ser secuestrados

• Algunos ofrecen WiFi y traen puertos USB introduciendo

nuevos riesgos


El ataque físico a un Banco no es inaudito

Varios hackers penetraron en el 2005 a las oficinas de SMBC en el Reino Unido como conserjes, en complicidad con el personal de seguridad e instalaron keyloggers a los empleados de Mesa de Ayuda obteniendo los password de usuarios con acceso al SWIFT (Society for Worldwide Interbank Financial Telecommunication) y transfirieron £220m (casi un cuarto de billón de dólares)

Fuente: Zdnet 17 Mar 2005

“70% de las instituciones financieras sufrieron fraudes internos causado por empleados en los últimos 12 meses” (Darksecurity, 10.05.09)


Otras modalidades del crimen cibernético

Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground


Todos son un blanco


URLZone: Malware de Ultima Generación Análisis de un ataque real a los clientes de un banco

europeo entre agosto y septiembre del 2009.


¿Que es URLZone?

• Es un bot (troyano) bancario que es implantado en las PC’s comprometidas por los hackers. .

• Algunas características de URLZone– Registra las credenciales y cuentas bancarias– Toma screnshoots del Internet Banking cuando es accedido por la victima– Roba dinero de las cuentas bancarias de las victimas– Aplica el análisis del comportamiento para evadir los sistemas anti-fraude

implementados en los bancos– Modifica el balance de las cuentas usando DOM (Document Object Model) para

evitar que la victima se de cuenta que le están robando– Registra las actividades de otras cuentas (Facebook, Gmail, Paypal)

Fuente: http://j.mp/5i1g5


http://j.mp/5i1g5

Como URLZone evade la detección del robo

1. Los criminales se aseguran que el balance de la victima sea positivo

2. Que el monto robado no sea muy alto

3. Establecen un monto al azar para cada transacción

4. Se aseguran que el balance que reste sea positivo

Fuente: Finjan 2009 Sept Cyberintel


Screenshot del E-Banking de la victima

09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN NAME=POST1 USERHOST=postbank.de USERACC=[REMOVED] USERPASS=[REMOVED] BALANS=2027.69 INET_LIMIT=15000.00 (Limite de la victima)DISPO_LIMIT=7000.00 MAXBETRAG= BLZ=60050101

TRUEAMOUNT=53,94 (Balance falso)

AMOUNT=8576,31 (Cantidad robada)%DROP_BLZ%=|LBBW/BW-BANK STUTTGART| (Banco de la mula)%DROPNAME%=|xxx xxx| (Mula)%KONTONUMMER%=|1000000001| %BLZ%=|60010070| %C1%=|Ref Num 123456| %C2%=|Ref Num 123456| %C3%=|Ref Num 123456| %C4%=|Ref Num 123456| COMMENT: Tigr EXINF= DATE: 24.08.2009

VERSN: iexplore.exe 6.0.2900.2180 (Versión de IE)IP: XX.XX.XX.XX


Balance falso, en verdad el hacker

robo mas de 8,000 euros.


Un análisis económico de este caso

• Desde el 11 hasta el 26 de agosto del 2009 esta banda hizo un total de 193,606 euros (RD$ 10,280,478) es decir: 12,000 euros por día (RD$ 637,200)

• Desde agosto 30 hasta el 1 de septiembre, ellos robaron 42,527 euros (RD$ 2,258,183). Ósea: 21,000 euros por día. (RD$ 1,115,100)

• En un total de 22 días hicieron 300,000 euros (RD$ 15,930,000)

• El troyano aun permanece activo….

• A ese ritmo: En un año esta banda de criminales podría hacer cerca de 5 millones de euros (RD$ 265,500,000)

• No debe haber dudas de porque el crimen cibernético hace mas dinero que la droga y es de mucho menor riesgo. Países como Ucrania han dado inmunidad diplomática a criminales de este tipo y en Rusia muchos son muy protegidos.



Complicaciones legales de URLZone


• Realiza todas sus operaciones desde el ordenador de la victima, y no desde una localidad remota. Esto implica que tanto para el banco como para un juez, el único que ha realizado transacciones es la victima.

• URLZone cuando es detectado, activa un mecanismo de defensa para proteger la identidad de la mula, enviando dinero a cientos de cuentas de clientes legítimos que no son mulas. Muchas personas sin ser mulas podrían ser acusadas de lavado de dinero.


Medidas para mitigar a URLZone

Es muy difícil detectar estos casos proactivamente y mas aun es detenerlos, es mejor prevenir que curar. Una educación proactiva a sus clientes y empleados puede darle mas resultados que invertir en costosas tecnologías que no mitigaran eficientemente este riesgo. Después de todo, el facto humano siempre es el mas débil en la seguridad.


¿Y mis defensas? ¿Qué pueden hacer para mitigar estos riesgos?

¿Cómo la evaden los hackers?


Las brechas de la seguridad

• El radar y ventana de efectividad de los IPS/IDS es limitado y pueden ser vencidos.

• Los antivirus poseen debilidades que posibilitan la evasión de los mismos. Ejemplo de ello es que solo 5/41 antivirus detectan hasta la fecha al troyano URLZone

• Es posible burlar los mecanismos de defensa de los firewalls por el uso de debilidades muy bien conocidas.


Evaluación de riesgos

CULTURASQLi

XSS

PHISHINGVOIP

INFRAESTRUCTURA

VULNERABILIDADES LÓGICA DEL NEGOCIO

VISHING

TROYANOS BANCARIOS

SKIMMING

PHARMING

BGP HIJACKING

DNS POISONING

SPAM

DDoSPCI DSS

LEY 53-07CÓDIGO PENAL

CIBERTERRORISMO

MiTB

VIRUS EN CELULARES

REDES SOCIALES

BOTNETSSMISHING


Tendencias del crimen cibernético

• Conforme los bancos implementen autenticación de dos factores se comenzaran a ver mas ataques de MiTB (Man-in-The-Browser)

• La sofisticación de los troyanos bancarios aumentaran, la probabilidad que para el 2010 seamos afectados por troyanos como URLZone es alta.

• Los ataques a los procesadores de tarjetas de créditos y bancos se incrementaran

• Los ataques dirigidos de SQLi y XSS contra aplicaciones web serán mas frecuentes

• Proliferaran las paginas de phishing en redes fast-flux


Recomendaciones para optimizar el riesgo“Las organizaciones que son mas efectivas y eficientes en manejar riesgos para sus recursos actuales y futuros, van a superar aquellas que no lo son. Puesto simple, las empresas hacen dinero por tomar riesgos inteligentes y pierden dinero por fallar en manejar sus riesgos inteligentemente.” Deloitte


Recomendaciones para PCI DSS

• Eduque sus usuarios y clientes en materia de seguridad. – Requisito 12.6 de PCI DSS.

• Realice pruebas de penetración a un sistema o aplicación después de cada actualización y anualmente – Requisitos 6.6, 11.1 y 11.3 de PCI DSS y DS 5.5 de COBIT.

• Implemente un plan de respuestas a incidentes alineado con su BCP y ERM. – Requisito 12.9 de PCI DSS.

• Actualice sus políticas acorde al perfil de riesgo de organización y alineadas con PCI DSS. – Requisitos12.2, 12.3 y 12.8 de PCI DSS.

• Cumplir con PCI DSS es un paso en la dirección correcta pero no erradicara los riesgos. – Heartland Payment Systems notifico que sufrió una brecha de seguridad el mismo día que recibía su acreditación de cumplimiento con PCI

• Los requisitos de PCI son muy parecidos al TG-3 para protección de los pines de las tarjetas de crédito y debito desarrollado por ANSI para la industria financiera© 2010 Mageni Networks | http://www.mageni.net

ERM (Enterprise Risk Management)Proceso PO9 de COBIT – Evaluar y administrar los riesgos de TI

Procesos y Actividades del NegocioObjetivos y Metas del Negocio

ENTERPRISE RISK MANAGEMENT

Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr sus objetivos y metas .

OB

ST

ÁC

UL

OS

/RIE

SG

OS


Beneficios de un ERM

• Optimizara sus riesgos tornándolos en una ventaja competitiva

• Agregara valor al negocio y al programa de seguridad

• Le ayudara a justificar el despliegue de capital

• Reducirá sorpresas operacionales y perdidas por incidentes

• Ayudara a la alta gerencia a tomar decisiones mejor informado

• Simplificara el cumplimiento con Basilea II

• Promoverá la optimización y mejora continua

• Aprovechara oportunidades de crecimiento


Para conocer mas como proteger y acelerar el crecimiento de su negocio

Vis í tenos en : h t tp : / /www.magen i .ne t


Riesgos y Tendencias del Crimen Cibernético y su Impacto en el Sector Financiero

Technology

Transcript of Riesgos y Tendencias del Crimen Cibernético y su Impacto en el Sector Financiero